- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Когда один php скрипт подключает другой через include/require, ограничения в .htaccess не действуют.
Это раз.
Ну ещё фантазию включить:)
1. Бить бубен и тыкать дулю в монитор - самый верняк. Проверяли с коллегами. Можно ещё нанять спецагентов, чтобы вычисляли тех, кто посылает хакерские запросы.
2. в вызывающем файле определять переменную, а в вызываемом проверять её наличие;
3. в скрытые параметры формы записать ID формы, и такой же ID записать в переменную сессии. Потом сравнить.
4. Юзать капчу
и ещё много много много....много вариантов.
gterkin, в данном случае нет include/require, про недостатки сессий уже говорилось, капча не комельфо.
Мне пока видиться наилучший вариант с уникальным ключом записывающимся в базу/файл.
gterkin, в данном случае нет include/require, про недостатки сессий уже говорилось, капча не комельфо.
Мне пока видиться наилучший вариант с уникальным ключом записывающимся в базу/файл.
А где вы видели, чтобы можно было полностью отгородиться от посылки данный не с формы? Если найдете, кто сумел такое сделать, срочно напишите мне в личку. Есть защита от дурака. Но для поискового запроса я бы и такого делать не стал. Если запросы приходят очень часто, добавлять капчу. Перестали часто приходить - убрали капчу. Хотя я бы ради поискового запроса вообще не парился.
ОСТАЕТСЯ ВАРИАНТ.
Когда только бубен в руки и исполнить ритуальный танец. Дули тыкать строго на север.
Я вообще то ночью набрел на пост. Не дочитал до того момента, где вы про аякс сказали. Тагды, если у вас аякс, и воображение всё-таки включать ВЫ не желаете, выполняем пункт №1. во время исполнения ритуального танца, должно прийти АЗАРЕНИЕ (снова возвращаюсь с намеком на аякс) - КАК ОБОЙТИ "НЕДОСТАТКИ" СЕСИИ.
Только не говорите, что получив ID формы на параметрах формы, можно вставить его в прогу и выполнить запрос не с формы. Этоже какому дуралею понадобится такую прогу писать?
Вобщем вариант с ID формы используется давнои павсемесна в том же, например, маилру. Раньше там писалось для тормозов, которые за 30 минут не умеют форму заполнить, что они в пролете, слишком долго думали, а с приходом аякса обновляют сессию раз в 20 минут посылкой маленького аякс-запроса, который нужен только для того, чтобы обновить сессию.
Шо то я много сегодня пишу :)....
Я вообще не совсем понимаю, для чего такое делать?
Ну и пусть будет возможность запросить скрипт напрямую. В чём здесь проблема?
Если к скриптам нужно ограничить доступ, то сделайте простейшую http-авторизацию.
Дополнительно можно проверять referer, что-то по типу капчи и т.п.
полностью поддерживаю Himiko
в чем проблемма ? обьясните чего вы опасаетесь
Если капчу делать не охото или вводить си-му с уникальными ключами в сессии/базе то можно сделать еще 1 вариант, менее безопасный но простой в реализации.
На html страничке выставляем юзеру куку с помощью javascript, ее содержимое - к примеру день + ip юзера и все это в каком-либо хеше или в посоленном виде, куку ставим на 1 день. Ну и аналогично проверяем на php скрипте наличие этой куки и ее правильность... Си-ма велосипед, но при определенных "вариациях" отработает свое :)
Если капчу делать не охото или вводить си-му с уникальными ключами в сессии/базе то можно сделать еще 1 вариант, менее безопасный но простой в реализации.
На html страничке выставляем юзеру куку с помощью javascript, ее содержимое - к примеру день + ip юзера и все это в каком-либо хеше или в посоленном виде, куку ставим на 1 день. Ну и аналогично проверяем на php скрипте наличие этой куки и ее правильность... Си-ма велосипед, но при определенных "вариациях" отработает свое :)
а каптача или сессиия что то меняют , ТС так и не ответил чего он опасается
а каптача или сессиия что то меняют , ТС так и не ответил чего он опасается
Ну единственное чего он может опасается - ботов или авто-заполнения формы, надеюсь входящие данные с формы перед выполнением запроса в базу - фильтруются ...
Ну единственное чего он может опасается - ботов или авто-заполнения формы, надеюсь входящие данные с формы перед выполнением запроса в базу - фильтруются ...
ну так надо определиться с угрозой , и тогда можно рекомендовать какое то решение
Тоесть в таком случае самый безопасный вариант: при каждом входе на страницу 1 генерировать уникальный ключ, и брать к примеру ip пользователя, записывать ip и ключ в базу, после передавать ключ файлу 2, в котором опять брать ip пользователя и проверять соответсвует ли полученный ключ тому ключу который записан в базе и для которого такой ip.
?
зачем в этой схеме IP ?
недостатки ip -
а) все пользователи за NATом имеют один и тот же IP - актуально для мобильного и-нета.
б) при обрыве связи может сменится IP, т.е. "авторизация" слетит - актуально для мобильного и-нета.